PMP MSP Edition(英語版のみ)
概要
ManageEngine Password Manager Proは、MSP Editionでも利用できるようになりました。MSP Editionとは、管理サービスプロバイダからのリクエストを考慮に入れ、特別にデザインされたものです。単一管理のコンソールとは別に、クライアントの管理者パスワードを管理したい、もしくはパスワード管理サービスで管理をしたいと考えるMSPであるならば、MSP Editionを活用することができます。
ユーザーは自分が所有するパスワード、もしくはユーザー間で共有されたパスワードに対してにのみアクセスができるので、パスワードは、MSP管理者とその顧客との間で安全に共有することができます。また、パスワードvaultの制御をMSP管理者、エンドユーザー、もしくは両者に対して必要に応じて委ねられるという柔軟性があります。
MSP Editionは、PMPの基本的パスワード権利付与のモデルに従っています。すなわち、ユーザーはいつでも自分が所有する、もしくは共有されたパスワードだけを確認することができるようになります。MSPの管理者として管理する組織名を確認できるようになる一方で、顧客のリソースを追加/共有した場合には、すべての顧客データを確認することができるようになります。顧客の方では、組織データを確認することができるようになります。
MSP Edition - まず初めに
必要条件
- MSP Editionをテストするために、別のマシンを設置してください。PMPが稼働している同じマシンにMSP Editionをインストールしようとすると、既存のPMPインスタンスをアンインストールします。
まず始めに
- "ManageEngine_PMP_MSP.exe"をダウンロードし、インストールします。
ステップ1:MSP組織にユーザーを追加
ユーザー管理からMSP管理者処理プロセスは始まります。まず最初に、MSP組織にユーザーを追加します。各顧客毎に、"アカウントマネージャ"として一人の管理者を割り当てます。ユーザーの追加で処理を進めます。
ステップ2:顧客の組織を追加
ユーザーを追加後、顧客組織を追加する必要があります。[管理] >> [カスタマイズ]項目に移動すると、[組織]アイコンがあります。MSPで管理する組織は、PMP上で登録してください。
手動でクライアント組織を一つずつ追加する、もしくは、もしくはCSVファイルより一括ですべての組織をインポートすることもできます。
手動で組織を追加する
- [管理] >> [カスタマイズ]項目に移動すると、[組織]アイコンがあります。
- [組織の追加]ボタンをクリックします。
- UI画面が表示されるので、追加する組織に名前を入力します。
- 表示名:追加する組織を識別するための名前。英数字のみ使用できます。スペース(空白)は使用できません。名前は単語にしてください。ここで入力した名前はPMPの画面右上にあるドロップダウンに表示されます。そして、表示名はPMPのログインURLに含まれます。例えば; 表示名に[xyz]とした場合、組織へのログインURLは次のようになります; https://<host name>:<port>/xyz
- アカウント管理者:追加する組織のアカウント管理者として、MSP側で任意の管理者を指名することができます。名前が意味する通り、アカウント管理者は組織を管理する上での連絡先となり、組織に所属するリソースの追加や管理が可能です。PMP上で管理者の役割を持つアカウント管理者は、組織のユーザを管理することも可能です。ひとつの組織に割り当てられるアカウント管理者は1名までで、複数のクライアント組織のアカウント管理者になることができます。
- 必要に応じ、部門、場所等の他の詳細情報を入力してください。
CSVファイルから組織をインポート
インポート ウィザードを使用して、複数の組織情報をCSVファイルからインポートすることができます。CSVファイルには、組織名、表示名、コンマで区切られた形式で他の詳細情報等が入力されています。各組織の入力は、新しいラインで行います。CSVファイルのすべての行に一貫性があり、同じ数のフィールドがあることを確認してください。CSVファイルの拡張子は .txt、または .csv にしてください。組織をインポートするには;
- [管理] >> [カスタマイズ]項目に移動すると、[組織]アイコンがあります。
- [組織のインポート]ボタンをクリックします。
- UI画面が表示されるので、組織を含むCSVファイルを検索、そして選択してください。
- [次へ]をクリックします。
- UI画面が表示されるので、CSVファイルのどのフィールドが組織のどの属性にマップされるのかを選択することができます。
- 最後に、[完了]をクリックします。
インポートされた各行は、監査記録としてログ記録されます。
組織管理に特権を与える
"アカウント管理者"として管理者を指定するとはまた別に、MSP組織のメンバーに"組織管理"の特権を与えるオプションがあります。この特権を管理者に付与すると、クライアント組織に対する管理者特権を得ることになります。同様に、特権がパスワード管理者に、もしくはパスワードユーザーに与えられる場合、各自の特権を得ることになります。
セキュリティの理由から、PMPでは、組織管理には承認プロセスを強制しています。即ち、MSPで管理者がユーザーへの許可管理ができる一方で、MSP組織では他の管理者による承認が必要となります。リクエストを行う側と、リクエストを受ける側は承認することはできません。第三者の管理者による承認が必要となっています。これにより、管理許可を自分自身で得ることができる、もしくは別の管理者の許可なく誰かに特権を付与できる管理者はいないことを確実にします。そのため、MSP組織においてこのプロセスを実行するには、少なくとも3人の管理者が必要ということになります。
例えば、[管理者A]が[管理者B]に、[組織ABC]の管理許可を付与したいシナリオを仮定してみましょう。この場合、管理者A(提案者)と管理者B(指名された管理者)の両者は承認することができません。もう一人別の管理者、たとえば、[管理者C]が承認する必要があります。
組織に管理許可を付与するには
- MSPアカウントにログインし、[管理] >> [ユーザー]を開きます。
- [ユーザーアクション]カラムにある[組織管理]をクリックしてください。
- UI画面が表示されるので、対象となるクライアント組織を選択し、右側へ移動させてください。
- 承認者の名前を選択します。
- [保存]をクリックします。
承認が行われると、ユーザーは管理特権を取得します。
もしくは、[ユーザーアクション]カラムにある[組織管理]アイコンをクリックすると、[組織]ページからも許可管理を付与することができます。
MSP組織 - 既定の組織
既定では、[MSPOrg]という名前の組織が利用できます。この既定の組織は、基本的に自分自身の組織(MSPの組織)です。ここで追加したパスワードは、ユーザー自身の組織で保持され、クライアントには追加されません。
クライアント組織のパスワード管理
組織が追加されると、PMPのGUI画面[組織の選択]の上部に、ユーザーが管理している組織の一覧リストが表示されます。(即ち、ユーザーが管理許可を得ている、もしくはユーザーがアカウント管理者である組織の一覧リストが表示されます。)
対象となる組織を選択し、リソースの追加で次に進みます。それからクライアントとパスワードを共有することができます。一方で、パスワード管理サービスを提供している場合、クライアントにパスワードを追加するよう依頼します。
特定のクライアント組織にアクセスする方法
次のURLにアクセスし https://<PMP-Host-Name>:7272/、MSP組織にアクセスすることができます。そして、PMPのGUI画面の上部より、対象となるクライアントの組織を選択します。
クライアントのPMPにアクセスする方法
組織を作成した後、クライアントは自分の組織に接続することができ、そして次に説明するURLを入力することでパスワードを確認/管理することができるようになります。
https://[Host Name:[port]/[Name of the org]
例えば、クライアントの組織名が[abc]で、PMPがホスト[pmphost]上で稼働していると仮定します。すると、組織に接続できるURLは、次のようになります。https://pmphost:7272/abc
様々なパスワード管理機能の実行方法については、ヘルプドキュメントの該当箇所を参照してください。
クライアント組織の削除方法
MSPOrg管理者の場合、Password Manager Pro上にクライアント組織を削除することができます。さらに、以下の操作の権限も必要です。
- 削除するクライアント組織の管理ができること
- 削除するクライアント組織の組織管理権限があること
組織を削除する方法
- 管理 >> 組織に移動します
- 削除したいクライアント組織のアクションアイコンから組織の削除を選択します
- OKをクリックします。削除したクライアント組織内のリソースやユーザーも削除されます
